Schaden für Ronin soll bei über 550 Millionen Euro liegen

[datensicherheit.de, 30.03.2022] Laut Medienberichten soll es zu einem bemerkenswerten Diebstahl von Krypto-Währungen während eines virtuellen Einbruchs bei der Blockchain-Firma Ronin gekommen sein. Es handelt sich demnach um einen Wert von rund 555 Millionen Euro – wohl einer der größten Diebstähle dieser Art bislang. Check Point hat sich nach eigenen Angaben den Fall angesehen und gibt in einer aktuellen Stellungnahme eine technische Einschätzung der Sicherheitsabteilung.

Foto: Check Point

Oded Vanunu: Hacker verdoppeln Anstrengungen, um jede einzelne Schwachstelle im Blockchain-Ökosystem auszunutzen!

Oded Vanunu von Check Point kommentiert Ronin-Vorfall

„Aufgrund der inhärenten Anonymität der Blockchain-Technologie stellt sie ein relativ harmloses und darum lohnendes Ziel für Cyber-Kriminelle dar. Deshalb sehen wir, dass Hacker ihre Anstrengungen verdoppeln, um jede einzelne Schwachstelle im Blockchain-Ökosystem auszunutzen“, kommentiert Oded Vanunu, „Head of Products Vulnerability“ bei Check Point Software Technologies.

Attacke auf Ronin zeigt: Unternehmen können es sich nicht leisten, nachlässig zu werden!

Die Blockchain-Technologie sei zwar dezentralisiert, was es extrem schwierig mache, ihre Kernfunktionen auszunutzen, doch Unternehmen könnten es sich nicht leisten, deshalb nachlässig zu werden. Vanunu: „Ein so großes Netzwerk wie Ronin, welches als Blockchain-Netzwerk das Spiel ,Axe Infinity‘ des Entwicklers Sky Mavis antreibt, nutzte nur neun Validierer. Wir erwarten viel mehr, denn: Obwohl sie nur fünf davon attackierten, konnten die Angreifer einen der bisher größten Krypto-Raubzüge durchführen, da sie NFT-Transaktionen schlicht fälschten.“

Validierungsknoten der Ronin-Brücke am 23. März 2022 geknackt

Die Validierungsknoten der Ronin-Brücke seien am Mittwoch, dem 23. März 2022, geknackt worden – „aber Sky Mavis meldete, den Einbruch erst eine Woche später, am Dienstag, dem 29. März 2022, entdeckt zu haben“. Der Angreifer habe geknackte „Private Schlüssel“ benutzt, um lediglich zwei Abhebungstransaktionen zu fälschen, was zu einem Diebstahl von rund 555 Millionen Euro (615 Millionen US-Dollar) geführt habe.

Weitere Informationen zum Thema:

Neue Zürcher Zeitung, Philipp Gollmer, 30.03.2022
Hacker stiehlt Kryptowährungen im Wert von über 600 Millionen Dollar: Was genau ist passiert? / Betroffen ist ein Blockchain-Netzwerk, das mit dem beliebten Online-Videospiel Axie Infinity verknüpft ist

Im Oktober 2021 hatte CPR bereits den Diebstahl von Krypto-Geldbörsen auf OpenSea, dem weltweit größten Marktplatz für Non-Fungible Token aufgedeckt

[datensicherheit.de, 25.01.2022] In einer neuen Veröffentlichung zeigt Check Point Research (CPR) nach eigenen Angaben, „wie Betrüger sogenannte Smart Contracts falsch konfigurieren, um betrügerische Token zu erstellen“. Der aktuelle Bericht beschreibe detailliert die Methode, „mit der Betrüger derzeit Geld stehlen“, und liefere Beispiele. Die Ergebnisse bauten auf früheren Forschungen von CPR zu Krypto-Währungsbetrug auf.

Foto: Check Point

Oded Vanunu: Krypto-Gemeinschaft darauf aufmerksam machen, dass Betrüger gefälschte Token entwickeln können!

Gefälschte Token mit besonderen Eigenschaften zum Schaden der Kunden

CPR, die „Threat Intelligence“-Abteilung der Check Point® Software Technologies Ltd., habe zuvor im Oktober 2021 den Diebstahl von Krypto-Geldbörsen auf „OpenSea“, dem weltweit größten Marktplatz für „Non-Fungible Token“ (NFT), aufgedeckt.

Im November 2021 sei dann hinzugekommen, dass Hacker neue Suchmaschinen-Phishing-Kampagnen über „Google Ads“ genutzt hätten, um innerhalb weniger Tage eine halbe Million US-Dollar zu stehlen. Die nun gefälschten Token können folgende Eigenschaften aufweisen:

• „Einige Token enthalten eine Kaufgebühr von 99 Prozent, die Ihnen beim Kauf das Geld raubt.“
• „Einige Token enthalten eine Verkaufsgebühr von 99 Prozent, die Ihnen beim Verkauf Ihr Geld rauben wird.“
• „Einige Token erlauben dem Käufer nicht, sie zu verkaufen, so dass der Verkäufer als Eigentümer verbleibt und nur er kann sie verkaufen.“
• „Einige erlauben es dem verkaufenden Eigentümer, weitere Münzen in seiner Brieftasche anzulegen und zu verkaufen.“

Erstellung betrügerischer Token durch falsch konfigurierte Smart Contracts

Um betrügerische Token zu erstellen, konfigurierten Hacker „Smart Contracts“ falsch. „Das sind Programme, die in einer Blockchain gespeichert sind und ausgeführt werden, wenn bestimmte Bedingungen erfüllt werden.“ CPR skizziert nachfolgend die Schritte, mit denen sich Hacker diese „Smart Contracts“ zunutze machen:

1. Ausnutzung von Betrugsdiensten
Hacker nutzten in der Regel sogenannte Scam-Services, um den „Contract“ zu erstellen, oder sie kopierten einen bereits bekannten „Scam Contract“ und änderten den Token-Namen sowie das Symbol und einige der Funktionsnamen, „falls sie wirklich raffiniert sind“.

2. Manipulation der Funktionen
Als nächstes würden sie die Funktionen des Geldtransfers manipulieren, um die Käufer am Verkauf zu hindern, oder die Gebühren zu erhöhen. Die meisten Manipulationen würden sich stets auf den Geldtransfer beziehen.

3. Begeisterung mittels Sozialen Medien erzeugen
Dann öffneten Hacker Soziale Kanäle, wie „Twitter“, „Discord“ oder „Telegram“, ohne ihre Identität preiszugeben – oder sie missbrauchten gefälschte Identitäten anderer Personen – „und beginnen mit dem Hype um das Projekt, damit die Leute anfangen, zu kaufen“.

4. Abzocken
Nachdem die Kriminellen die gewünschte Summe erreicht haben, zögen sie das gesamte Geld aus dem „Scam Smart Contract“ ab und löschten alle Social-Media-Kanäle.

5. Zeitstempel überspringen
Normalerweise würden die Käufer nicht sehen, „dass diese Token einen großen Geldbetrag im ,Contract Pool‘ sperren oder sogar ein ,Timelock‘ zum Vertrag hinzufügen“. „Timelocks“ würden meist verwendet, um administrative Maßnahmen zu verzögern, und gälten im Allgemeinen „als starker Indikator dafür, dass ein Projekt legitim ist“.

CPR-Tipps zur Vermeidung von Scam-Token

1. Diversifizierung der „Wallets“!
Der Besitz eines „Wallets“ sei der erste Schritt, um „Bitcoins“ und jede andere Krypto-Währung verwenden zu können. Diese seien das Werkzeug, „mit dem Benutzer ihre ,Bitcoins‘ speichern und verwalten“. Einer der Schlüssel zu deren Sicherheit sei es, mindestens zwei verschiedene Krypto-„Wallets“ zu besitzen. Ziel sei es, „dass der Nutzer eine davon für seine Einkäufe und die andere für den Handel und den Austausch von Krypto-Münzen verwenden kann“.
Auf diese Weise sei das Vermögen besser geschützt, da in den „Wallets“ auch die Passwörter der einzelnen Nutzer gespeichert würden. Diese seien ein wesentlicher Bestandteil beim Handel mit Krypto-Währungen und verfügten über einen öffentlichen Schlüssel, welcher es anderen Nutzern ermögliche, Krypto-Währungen an eine Geldbörse zu senden. Sollte es einem Cyber-Kriminellen gelingen, sich durch einen Angriff den Zugang zu diesen Daten zu verschaffen, „dann in diesem Fall der Trennung nur zu der Geldbörse, mit der Sie handeln“. Die erworbenen „Bitcoins“ in der anderen Geldbörse seien indes sicher.

2. Ignorieren der Werbung!
Oftmals suchten Nutzer über „Google“ nach „Bitcoin Wallet“-Plattformen. In diesem Moment könnten sie einen der größten Fehler begehen, „denn sie klicken auf eine der ,Google‘-Anzeigen, die an erster Stelle erscheinen“.
Hinter solchen Links steckten oft Verbrecher, „die falsche Web-Seiten erstellen, um Anmeldedaten oder Passwörter zu stehlen“. Daher sei es sicherer, die Web-Seiten aufzurufen, „welche in der Suchmaschine weiter unten erscheinen und keine ,Google‘-Anzeige sind“.

3. Transaktionen testen!
Bevor man große Krypto-Beträge sendet, sollte man zunächst eine Testtransaktion mit einem Mindestbetrag durchführen.
Auf diese Weise ist es einfacher, den Betrug zu erkennen, falls man ihn an eine gefälschte Brieftasche sendet.

4. Doppelte Aufmerksamkeit für mehr Sicherheit!
Eine der besten Maßnahmen zum Schutz vor jeder Art von IT-Angriff sei „die Aktivierung der Zwei-Faktor-Authentifizierung auf den Plattformen, auf denen Sie ein Konto haben“.
Wenn ein Angreifer versucht, sich auf irreguläre Weise bei einer dieser Plattformen anzumelden, erhalte der eigentliche Eigentümer eine Nachricht, um seine Authentizität zu überprüfen, beispielsweise mittels eines SMS-Codes. So sei er informiert und der Hacker erhalte trotz des Kennwortes keinen Zugriff.

CPR deckte echten Token-Betrug auf, welcher das Verstecken von Gebührenfunktionen in Höhe von 100% erlaubt

„Check Point Research investiert erhebliche Kräfte in die Untersuchung der Schnittstelle zwischen Krypto-Währungen und IT-Sicherheit. Letztes Jahr haben wir den Diebstahl von Krypto-Wallets auf ,OpenSea‘, dem weltweit größten NFT-Marktplatz, enttarnt und wir haben die Nutzer von Krypto-,Wallets‘ vor einer massiven Suchmaschinen-Phishing-Kampagne gewarnt, die dazu führte, dass innerhalb weniger Tage mindestens eine halbe Million Dollar gestohlen wurde“, berichtet Oded Vanunu, „Head of Products Vulnerabilities Research“ bei Check Point Software Technologies.

In ihrer neuen Veröffentlichung zeigten sie, „wie der Betrug mit echten ,Smart Contracts‘ aussieht, und decken einen echten Token-Betrug auf, der das Verstecken von Gebührenfunktionen in Höhe von 100 Prozent erlaubt und das Verstecken von Backdoor-Funktionen beinhaltet“.

Wegen dieser beiden Techniken fielen derzeit viele Krypto-Nutzer weiterhin in diese Fallen und verlören ihr Geld. Vanunu erläutert: „Mit unserer Veröffentlichung wollen wir die Krypto-Gemeinschaft darauf aufmerksam machen, dass Betrüger gefälschte Token entwickeln können. Um Betrugsmünzen zu vermeiden, empfehle ich Krypto-Nutzern, ihre Geldbörsen zu diversifizieren, Werbung zu ignorieren und ihre Transaktionen zu testen.“

Weitere Informationen zum Thema:

CHECK POINT
How Hacker Run Token Scams to “Rug Pull“ Money

cp <r>, Dikla Barda & Roman Zaikin & Oded Vanunu, 24.01.2022
Scammers are creating new fraudulent Crypto Tokens and misconfiguring smart contract’s to steal funds

cp <r>, Dikla Barda & Roman Zaikin & Oded Vanunu, 13.10.2021
Check Point Research Prevents Theft of Crypto Wallets on OpenSea, the World’s Largest NFT Marketplace

Sicherheitsforscher von Check Point beobachten enormen Anstieg des Angebots auf dem Telegram-Schwarzmarkt

[datensicherheit.de, 11.08.2021] Die Check Point® Software Technologies Ltd. aktualisiert nach eigenen Angaben ihre Nachforschung zu gefälschten „Corona“-Impfnachweisen: Deren Sicherheitsforscher weisen demnach auf eine Zunahme von solche Angebote bewerbenden „Telegram“-Gruppen um weltweit 257 Prozent hin, wobei die meisten weiterhin aus Europa stammten. Im März 2021 seien die Werbungen vor allem für die USA, Großbritannien und Deutschland gedacht gewesen – nun kämen viele Länder in großer Zahl hinzu, darunter die Niederlande, Schweiz, Italien, Griechenland, Pakistan, Indonesien und Frankreich.

Foto: Check Point

Oded Vanunu: Anbieter haben es auf mehr abgesehen, als nur gefälschte Impfausweise zu verkaufen und Geld zu verdienen…

Über 2.500 Telegram-Gruppen derzeit aktiv

Check Point schätzt, „dass über 2.500 Gruppen derzeit aktiv sind“. Die Nutzerzahlen in diesen Gruppen hätten sogar um 566 Prozent zugenommen, wodurch jede Gruppe im Schnitt 100.000 Teilnehmer aufweise. Manche Gruppen wiesen sogar über 450.000 Teilnehmer auf.
„Die Preise für die gefälschten Impfausweise sanken aufgrund des hohen Angebots um die Hälfte.“ Im März habe ein Pass rund 171 Euro (200 US-Dollar) gekostet, nun sei er für 85 Euro (100 US-Dollar) zu haben.

Kontaktiert werden Verkäufer über Telegram, Whatsapp, Wickr, Jabber oder E-Mail

Hinzu komme das Angebot, sogar digitalisierte EU-Nachweise kaufen zu können, sowie gefälschte PCR-Test-Ergebnisse. „Die Anbieter werben sogar damit, dass ihre Pässe in den digitalen Systemen der USA, Großbritanniens und der EU registriert seien.“
Bezüglich der Bezahlung würden „Paypal“ und Krypto-Währungen, wie „Bitcoin“, „Ethereum“, „Monero“, „Dogecoin“, „Litecoin“, akzeptiert. Manchmal außerdem „Amazon Pay“, die Videospiele-Plattform „Steam“ und „ebay“-Gutscheine. Kontaktiert werden könnten die Verkäufer über „Telegram“, „Whatsapp“, „Wickr“, „Jabber“ und E-Mail. Damit werde auch deutlich, dass sich dieser Schwarzmarkt vom sogenannten Darknet zu Nachrichten-Anwendungen, allen voran „Telegram“, verschiebe, um ein breites Publikum ohne große Hindernisse zu erreichen.

Telegram im Vergleich zum Darknet technisch weniger kompliziert zu bedienen

„Wir haben in diesem Jahr das Darknet und ,Telegram‘ auf ,Corona‘-Virus-bezogene Angebote untersucht. Im Moment können gefälschte Impfausweise für fast alle Länder erworben werden. Alles, was Interessierte tun müssen, ist, das Land anzugeben, aus dem sie stammen und welches Produkt sie möchten“, berichtet Oded Vanunu, „Head of Products Vulnerabilities Research“ bei Check Point Software Technologies.
Anbieter entschieden sich übrigens dafür, auf „Telegram“ zu werben und Geschäfte zu machen, weil sie so ihren Vertrieb skalieren könnten. „Telegram“ sei im Vergleich zum Darknet wenig technisch kompliziert zu bedienen und könne schnell eine große Anzahl von Menschen erreichen.

Zunahme der Nutzerzahlen im Darknet und bei Telegram zu erwarten

Vanunu führt aus: „Wir glauben, dass die rasante Ausbreitung der ,Delta‘-Variante und der damit verbundene Druck, sich impfen zu lassen, den Markt beflügelt haben. In der Tat gibt es Menschen, die sich nicht impfen lassen wollen, aber trotzdem die Freiheiten haben möchten, die mit dem Nachweis einer Impfung einhergehen. Diese Menschen wenden sich zunehmend dem Darknet und ,Telegram‘ zu.“
Seit März 2021 seien die Preise für gefälschte Impfausweise um die Hälfte gesunken, und Online-Gruppen für diese betrügerischen „Corona“-Virus-Dienste hätten eine Anhängerschaft von Hunderttausenden von Menschen gewonnen. Vanunu abschließender Rat: „Ich empfehle dringend, sich nicht auf diese Verkäufer einzulassen, denn diese Anbieter haben es auf mehr abgesehen, als nur gefälschte Impfausweise zu verkaufen und Geld zu verdienen.”

Weitere Informationen zum Thema:

Check Point Blog
Black market for fake vaccine certificates reaches new peaks, while Delta variant keeps spreading globally

datensicherheit.de, 04.02.2021
Darknet: Vermeintliche COVID-19-Impfstoffe im Angebot / Preise zwischen 165 und 1.000 Euro auf Darknet-Handelsplätzen

Bereits im April 2021 wurde über ein Datenleck bei Linkedin berichtet

[datensicherheit.de, 01.07.2021] Offenbar hat ein Datenleck der Social-Media-Webplattform „Linkedin“ größere Ausmaße angenommen, als bislang vermutet. Check Point hat sich nach eigenen Angaben diesen Vorfall kurz angesehen und vermutet demnach stark – basierend auf der Erfahrung aus der Nachforschung zur App „TikTok“ – eine oft übersehene Tatsache dahinter: „Mangelhafte API-Sicherheit.“

Foto: Check Point

Oded Vanunu: Sieht so aus, als ob Hacker Daten über Linkedin-API erhielten

Bisher noch unbekannt, ob Linkedin-Daten von dem 2016 entstandenen Datenleck oder einem aktuellen Angriff stammen

Bereits im April 2021 sei über ein Datenleck bei „Linkedin“ berichtet worden, wobei die Informationen von 500 Millionen Mitgliedern zum Verkauf angeboten worden sein sollen. „Nun muss diese Zahl korrigiert werden: Nach Medienberichten sind in einem Hacker-Forum die Datensätze von 700 Millionen der ,Linkedin‘-Nutzer aufgetaucht – die Plattform zählt derzeit rund 756 Millionen Teilnehmer“, erläutert Oded Vanunu, „Head of Products Vulnerability“ bei der Check Point Software Technologies GmbH.
Unter den gestohlenen Einzelheiten über die Menschen befänden sich deren Namen, E-Mail-Adressen, Telefonnummern und Anschriften. „Kreditkarten-Daten sollen jedoch nicht dabei sein.“ Ob die Daten aus dem 2016 entstandenen Datenleck stammen oder aus einem erneuten Angriff, sei indes derzeit unbekannt.

Linkedin-Fall erinnert an TikTok

Vanunu führt aus: „Wir können jedoch sagen: Dieser Fall ähnelt unserer Nachforschung zur beliebten Handy-App ,TikTok‘. Dort waren wir in der Lage gewesen, die ,TikTok‘-API, also Schnittstelle, auszulesen und eine Datenbank mit Informationen über die Benutzer aufzubauen.“ Bezüglich „Linkedin“ sehe es so aus, „dass die Hacker jene Daten ebenfalls über die ,Linkedin‘-API erhalten haben, die sie also möglicherweise knackten“.
Beide Zwischenfälle untermauerten, dass API-Sicherheit sehr wichtig sei und ernstgenommen werden sollte, „während Unternehmer ihre Anwendung und IT-Infrastruktur einrichten“. Über Clouds laufende Anwendungen würden hauptsächlich mit einer sogenannten Kernanwendungslogik aufgebaut. „Dies heißt, dass sie mit vielen APIs verbunden ist, welche die Daten der Anwendung liefern. Wenn nun die APIs ungesichert bleiben, sind sie dem Risiko einer Attacke ausgesetzt, insbesondere dann, wenn es sich um API-Code-Schwachstellen handelt oder unbegrenzte API-Aufrufe durchgeführt werden“, so Vanunu. So etwas könne zu einem großen Datenleck führen, wie Check Point es bezüglich „TikTok“ berichtet habe und in diesem „Linkedin“-Fall erneut sehe.

Weitere Informationen zum Thema:

FAZ.NET, 30.06.2021
Leck bei sozialem Netzwerk? : Hacker bieten Daten zu 700 Millionen Linkedin-Nutzern an

RESTORE PRIVACY, Sven Taylor, 27.06.2021
New LinkedIn Data Leak Leaves 700 Million Users Exposed

datensicherheit.de, 28.04.2021
LinkedIn: Malware-Verbreitung über falsche Jobangebote / Cyber-Krimielle nutzen LinkedIn derzeit vermehrt für Phishing-Kampagnen

Arbeitslose versuchen zu Komplizen Cyber-Krimineller zu werden, um etwas Geld zu verdienen

[datensicherheit.de, 20.03.2021] Sicherheitsforscher von Check Point haben nach eigenen Angaben „eine traurige Auswirkung der ,Corona‘-Krise offengelegt“ – einige Arbeitssuchende versuchten im sogenannten Darknet zu Komplizen von Cyber-Kriminellen zu werden, „um endlich etwas Geld zu verdienen“. Mutmaßliche Arbeitslose aus aller Welt versuchten sich so Hackern anzudienen.

Foto: Check Point

Oded Vanunu: „Entwicklung spiegelt schwierige finanzielle und soziale Situation der Corona-Krise…“

Darknet als illegales Arbeitsamt für IT-versierte Arbeitslose

Die Menschen bewerben sich laut Check Point mit Sprüchen, wie: „Verspreche, keine dummen Fragen zu stellen“, oder „24/7 verfügbar“, oder „möchte Geld über das Internet um jeden Preis verdienen“. Derartige Anfragen hätten die eigenen Sicherheitsforscher in Hacker-Foren lesen können.
Bislang sei das Geschäft umgekehrt gelaufen, „also Hacker boten dort ihre Dienste gegen Geld an“. Nun würden diese Foren gewissermaßen zum illegalen Arbeitsamt im Darknet. Seit Beginn des Jahres 2021 hätten die Experten dort viele Dutzend solcher Anfragen gefunden.

Negative Auswirkungen der Corona-Maßnahmen auf Wirtschaft generieren Zuwachs an Arbeitslosen

In einigen Foren seien sogar monatlich zehn bis 16 neue Postings registriert worden – üblicherweise kämen derlei Anfragen nicht vor. Die Sicherheitsforscher glauben, „dass diese plötzliche Zunahme solcher Anfragen auf die negativen Auswirkungen der ,Corona‘-Maßnahmen auf die Wirtschaft zurückgehen, die zu hoher Arbeitslosigkeit führen“.
Diese Anfragen variierten in ihrer Art: In einem Fall frage ein Nutzer nach einem einmaligen – wohl hochklassigen – Auftrag für 200.000 US-Dollar oder mehr, in einem anderen suche eine Nutzerin eine monatlich bezahlte Rolle und betone ihre Erfahrung mit „Scamming“ und der Risiko-Bewertung cyber-krimineller Taten.

Anzahl der Beiträge von Arbeitslosen in Darknet-Foren nehmen zu

„Selten sehen wir eigentlich, dass Leute im Darknet und in Hacker-Foren nach illegalen Jobs suchen. Als wir plötzlich vermehrt Anfragen sahen, bei kriminellen Aktivitäten zu helfen, waren wir alarmiert und erschrocken zugleich. Menschen, die anbieten, für Cyber-Kriminelle zu arbeiten, bringen alle in große Gefahr“, erläutert Oded Vanunu, „Head of Products Vulnerabilities Research“ bei Check Point Software Technologies, die Untersuchung.
Daher hätten sie beschlossen, eine Handvoll Hacking-Foren über die letzten Monate genau zu beobachten. Vanunu berichtet: „Wir stellten also fest, dass die Anzahl der Beiträge von Arbeitssuchenden in diesen Foren stetig zunahm. Nahe liegt die Vermutung, dass andere Hacker-Foren den gleichen Trend aufweisen.“

Verzweiflung treibt Arbeitslose, um über die Runden zu kommen

Diese Entwicklung sorge für eine gefährliche Kultur im Darknet. Es sollte der letzte Ort sein, wo Menschen nach Arbeit suchen, doch verzweifelte Zeiten erforderten natürlich verzweifelte Maßnahmen, „und manche wenden sich nun den dunklen Hacking-Foren im Internet zu, um über die Runden zu kommen“.
Vanunu fasst zusammen: „Wir glauben, dass diese Entwicklung die schwierige finanzielle und soziale Situation spiegelt, welche die ,Corona‘-Krise vielen Menschen aufzwingt. Dieser traurige Aufschrei von einigen Menschen sollte letztlich jeden beunruhigen, der illegale kriminelle Aktivitäten mindern möchte.“

Weitere Informationen zum Thema:

datensicherheit.de, 26.01.2021
Warum eine umfassende IT-Sicherheitsarchitektur wichtig wird

Check Point Blog
Breaking bad: desperate job seekers turn to the Darknet and hacking forums for opportunities

Research-Team fand diverse Alexa-Schwachstellen, welche Angreifer hätten ins Visier nehmen können

[datensicherheit.de, 13.08.2020] Was die Sicherheitsforscher von Check Point vermutet hätten, habe sich nun bestätigt: Amazons Sprach-Assistent „Alexa“ könne ein „sehr gefährliches Einfallstor für Angreifer“ sein – die Experten hätten „diverse Schwachstellen“ gefunden.

Foto: Check Point

Oded Vanunu: „Es sind diese riesigen, digitalen Plattformen, die uns Menschen am meisten schaden können.“

Nutzer hätten über Alexa ausspioniert werden können

Das Research-Team der Check Point® Software Technologies Ltd. habe bei genauerer Betrachtung des Smart-Home-Devices „Amazon Alexa“ diverse Schwachstellen gefunden, welche von Angreifern hätten ins Visier genommen werden können.
Mit nur einem falschen Klick habe den Anwendern der Verlust zahlreicher persönlicher Daten oder sogar der Historie sämtlicher Sprachaufzeichnungen gedroht, also des persönlichen Stimmen-Profils. Außerdem hätten sie über „Alexa“ ausspioniert werden können.

Bereits über 200 Millionen Alexa in Haushalten auf der ganzen Welt

„Über 200 Millionen ,Alexa‘-Geräte verschiffte Versand-Riese Amazon bereits in Haushalte auf der ganzen Welt. Mittels Spracheingabe können die Nutzer andere Smart-Home-Geräte steuern, Musik abspielen, Fernsehen und Produkte aus dem Online-Versandhaus sofort ordern.“
Wegen dieser dauerhaften Anbindung aber an das Internet und der Vernetzung mit weiteren Geräten im Haushalt seien Amazons „Alexa“-Geräte ein interessantes Einfallstor für Hacker. Die Nachforschungen von Check Point zeigen demnach nun, „wie anfällig der Sprach-Assistent tatsächlich war“.

Zugriff auf sämtliche Alexa-Sprachaufzeichnungen möglich gewesen

Bei einem erfolgreichen Angriff hätten die Hacker laut Check Point

• Zugriff auf die persönlichen Informationen eines Opfers, wie Bankdaten, Benutzernamen, Telefonnummern und Wohnadresse, erhalten;
• Zugriff auf sämtliche Sprachaufzeichnungen erhalten, welche in „Alexa“ als Historie hinterlegt werden;
• die Möglichkeit zur unbemerkten Installation von Skills (Apps) auf dem „Alexa“-Konto eines Benutzers gehabt;
• Einsicht in die Zugriffsberechtigungen und Funktionen eines „Alexa“-Benutzerkontos erhalten;
• Befugnis zur unbemerkten Installation oder Löschung von Applikationen bekommen.

Hacker hätten Skills auf Alexa-Konto eines Opfers entfernen oder installieren können

Aus technischer Sicht sei es den Forschern von Check Point gelungen zu zeigen, dass bestimmte Amazon- und „Alexa“-Subdomains anfällig für einfache „Cross-Origin Ressource Sharing“-Fehlkonfigurationen (CORS) und „Cross Site Scripting“ (CSS) gewesen seien. Wegen der Verwendung von „XSS“ seien die Forscher zudem in der Lage gewesen, „das CSRF-Token abzufangen und Aktionen im Namen des Opfers durchzuführen“.
So hätten diese Exploits es einem Angreifer ermöglichen können, Skills auf dem „Alexa“-Konto eines Opfers zu entfernen oder zu installieren, auf dessen Stimmverlauf zuzugreifen und persönliche Informationen über die Interaktionen des Benutzers mit einzelnen Programmen zu stehlen. Die installierten Skills müssten dabei nicht einmal Malware enthalten – ein Fernzugriff auf Mikrofon oder Kamera eines „Alexa“-Gerätes könne in den falschen Händen bereits zur Daten- und Informations-Spionage missbraucht werden.

Einblick in die per „Alexa“ getätigten Transaktionen…

Ein Angriff hätte nur einen einzigen Klick auf einen vermeintlichen, indes vom Angreifer erstellten Amazon-Link erfordert, um erfolgreich zu sein. Besonders der Zugriff auf die Sprach-Historie hätte Hackern wertvolle und intime Informationen über den Benutzer in die Hände spielen können, sowie das Tor für weitere „Social Engineering“-Angriffe über Vishing öffnen können.
Durch Einblick in die per „Alexa“ getätigten Transaktionen könnten Angreifer zudem die Bankinformationen des Nutzers erbeuten. „Check Point informierte Amazon verantwortungsbewusst über die Ergebnisse und die Schwachstellen auf den Subdomains. Sie wurden entsprechend geschlossen.“ Bis dahin aber könne ein Nutzer zum Opfer eines solchen Angriffes geworden sein.

Möglicher Ablauf eines Angriffs auf Alexa laut Check Point:

• Ein „Alexa“-Benutzer klickt auf einen gefälschten Link, der ihn angeblich zu Amazon leitet, woraufhin der Angreifer die Möglichkeit hat, schädlichen Code auszuführen.
• Der Angreifer erhält eine Liste aller installierten Anwendungen auf dem „Alexa“-Konto und das CRF-Token des Benutzers.
• Der Angreifer kann nun eine oder mehrere Anwendungen des Benutzers löschen.Dann installiert der Angreifer eine gefälschte Anwendung desselben Rufnamens wie die gelöschte.
• Sobald der Benutzer diese über den Sprachbefehl aufruft und so die Hacker-App aktiviert, versetzt er den Angreifer in die Lage, verschiedene Aktionen über „Alexa“ durchzuführen und das Konto sozusagen zu übernehmen.

Alexa-Besitzer würde Angriff nicht bemerken

„Intelligente Lautsprecher und virtuelle Assistenten sind so alltäglich, dass man leicht übersieht, wie viele persönliche Daten sie sammeln und welche Rolle sie bei der Steuerung anderer intelligenter Geräte in unseren Wohnungen spielen“, warnt Oded Vanunu, „Head of Products Vulnerabilities Research“ bei Check Point.
Vanunu führt weiter aus: „Hacker erkennen sie dagegen als Einstiegspunkte in das häusliche Leben der Menschen und missbrauchen sie, um auf intime Daten zuzugreifen, Gespräche zu belauschen oder andere böswillige Aktionen durchzuführen. Der Besitzer merkt davon nichts. Wir haben diese Untersuchung durchgeführt, um zu zeigen, wie wichtig die zuverlässige Absicherung dieser Geräte ist, um die Privatsphäre der Benutzer zu wahren.“

Alexa aufgrund der Allgegenwart und Verbindung zu anderen IoT-Geräten in der Wohnung besonders von Interesse

Amazon habe schnell auf ihre Offenlegung reagiert, um diese Schwachstellen auf bestimmten Amazon- und „Alexa“-Subdomänen zu schließen. Vanunu: „Wir hoffen, dass die Hersteller ähnlicher Geräte dem Beispiel von Amazon folgen werden und ihre Produkte auf Schwachstellen überprüfen, welche die Privatsphäre der Benutzer gefährden könnten.“
Ähnliche Sicherheitsforschung hätten sie bereits bezüglich „Tiktok“, „WhatsApp“ und „Fortnite“ durchgeführt – und „alarmierende Ergebnisse“ erhalten. „Alexa“ allerdings habe sie aufgrund seiner Allgegenwart und seiner Verbindung zu anderen IoT-Geräten in der Wohnung schon seit einiger Zeit Sorgen bereitet. „Es sind diese riesigen, digitalen Plattformen, die uns Menschen am meisten schaden können. Daher ist der Grad deren Sicherheit von entscheidender Bedeutung“, betont Vanunu.

Weitere Informationen zum Thema:

cp<r> CHECK POINT RESEARCH, 13.08.2020
Keeping the gate locked on your IoT devices: Vulnerabilities found on Amazon’s Alexa

Check Point Software Technologies, Ltd. Auf YouTube, 13.08.2020
Keeping your gate locked on your IoT devices: Vulnerabilities found on Amazon Alexa

Check Point Research informierte Entwickler von OkCupid rechtzeitig über Schwachstellen

[datensicherheit.de, 29.07.2020] Nach eigenen Angaben konnten Sicherheitsforscher von Check Point eine Schwachstelle in der weltweit genutzten Dating-App „OkCupid“ identifizieren, so dass diese geschlossen werden konnte. Die Forschung zu Schwachstellen bei „OkCupid“, eine der beliebtesten Dating-Plattformen, habe insgesamt ernsthafte Fragen zur Sicherheit aller Dating-Apps und Websites aufgeworfen.

Foto: Check Point

Oded Vanunu: Kritische Schwachstellen hätten Cyber-Kriminellen vollen Zugriff auf OkCupid-Profile ermöglichen können

OkCupid: Sämtliche Konto-Informationen waren gefährdet

Das Research-Team der Check Point® Software Technologies Ltd. sei einer „gefährlichen Sicherheitslücke in der größten Dating-Webseite und -App, ,OkCupid‘, auf die Schliche gekommen“. Kritische Schwachstellen hätten Cyber-Kriminellen den vollen Zugriff auf Profile ermöglichen können, um Bilder, Nachrichten und E-Mail-Adressen zu stehlen.
Bis dahin hätten die Nutzer zu Opfern von Hacker-Angriffen werden können, „die in der Lage gewesen wären, sämtliche Konto-Informationen abzugreifen, darunter private Nachrichten, Geschlecht, Adressen, Bilder und die Antworten auf den Fragebogen von ,OkCupid‘ zur Profilbildung“.
Außerdem hätten die Angreifer das Konto sogar komplett übernehmen und heimlich Mitteilungen verschicken können – ohne, dass der Besitzer es hätte mitbekommen können.

Ein möglicher Angriff auf OkCupid in drei Schritten:

1. Der Hacker erstellt einen betrügerischen Link, der eine Malware enthält oder aktiviert.
2. Er schickt den Link an ein bestimmtes Opfer oder veröffentlicht diesen in einem Forum.
3. Sobald ein Nutzer dem Link folgt, aktiviert er den schädlichen Code und der Hacker kann das „OkCupid“-Konto übernehmen.

OkCupid-Herausgeber hat sofort und verantwortungsbewusst reagiert

„Unsere Forschung zu ,OkCupid‘, eine der beliebtesten Dating-Plattformen, hat ernsthafte Fragen zur Sicherheit aller Dating-Apps und Websites aufgeworfen. Wir haben gezeigt, dass die privaten Details, Nachrichten und Fotos der Benutzer von einem Hacker eingesehen und manipuliert werden können“, berichtet Oded Vanunu, „Head of Products Vulnerability Research“ bei Check Point.
Jeder Entwickler und Benutzer einer Dating-App sollte daher innehalten und überlegen, „welche intimen Details und Bilder er wirklich auf diesen Plattformen veröffentlicht und wie gut diese gesichert werden“.
Lobenswert sei, dass „OkCupid“ sofort und verantwortungsbewusst auf ihre Ergebnisse reagiert habe, um diese Schwachstellen in ihrer Handy-App und Website mit ihnen zu schließen.

OkCupid-Schwachstelle innerhalb von 48 Stunden behoben

Das Unternehmen OkCupid selbst habe nach der gemeinsamen Schließung der Sicherheitslücken ebenfalls einen Kommentar herausgegeben:
„Check Point Research informierte die Entwickler von ,OkCupid‘ über die Schwachstellen, die von ihnen aufgedeckt wurden, und eine Sicherheitslösung wurde verantwortungsbewusst eingeführt, um sicherzustellen, dass die Benutzer die ,OkCupid‘-App weiterhin sicher verwenden können. Kein Benutzer war von der Schwachstelle in ,OkCupid‘ betroffen und wir konnten sie innerhalb von 48 Stunden beheben.“
Das Unternehmen zeigte sich Partnern, wie Check Point, gegenüber dankbar, „die mit ,OkCupid‘ die Sicherheit und den Datenschutz unserer Benutzer an erste Stelle setzen“.

Corona brachte OkCupid Zunahme der Gespräche um 20 Prozent

„OkCupid“ wurde laut Check Point 2004 ins Leben gerufen und sei heute einer der führenden kostenlosen Online-Dating-Dienste weltweit mit über 50 Millionen registrierten Nutzern in 110 Ländern. Stand 2019 seien jährlich 91 Millionen Verbindungen über die Website hergestellt worden, „wobei jede Woche durchschnittlich 50.000 Treffen arrangiert wurden“.
Während der „Covid-19-Pandemie“ habe „OkCupid“ eine Zunahme der Gespräche um 20 Prozent verzeichnet.
Die detaillierten und persönlichen Informationen, die von den Benutzern übermittelt werden, machten Online-Dating-Dienste jedoch auch zum Ziel von Cyber-Kriminellen – entweder für gezielte Angriffe gegen Personen oder für den Verkauf der Daten an andere Hacker.

Weitere Informationen zum Thema:

cp <r>, CHECK POINT RESEARCH, 29.07.2020
Hacker, 22, seeks LTR with your data: vulnerabilities found on popular OkCupid dating app

Persönliche Informationen hätten gestohlen und Konten manipuliert werden können

[datensicherheit.de, 08.01.2020] Die weltweit sehr beliebte App „TikTok“ verzeichnet laut Check Point Research 800 Millionen Nutzer, davon 5,5 Millionen alleine in Deutschland. Sie gehöre zu den am schnellsten wachsenden Anwendungen. Nun hätten hauseigene Sicherheitsforscher Lücken in der Infrastruktur gefunden.

Foto: Check Point

Oded Vanunu: Angreifer hätten Inhalte auf Benutzerkonten manipulieren können…

E-Mail-Adressen und Kontaktdaten hätten ausgelesen werden können

Check Point Research, die „Threat Intelligence“-Abteilung der Check Point® Software Technologies Ltd. Hat am 8. Januar 2020 mehrere Schwachstellen in der beliebten App „TikTok“ enthüllt.
Diese ermöglichten es Angreifern, Inhalte auf Benutzerkonten zu manipulieren und sogar vertrauliche, persönliche Informationen, die auf diesen Konten gespeichert sind, zu extrahieren – darunter E-Mail-Adressen und Kontaktdaten.

TikTok hauptsächlich von Jugendlichen und Kindern verwendet

„TikTok“ werde hauptsächlich von Jugendlichen und Kindern verwendet, „die diese App benutzen, um private (und oft sehr sensible) Videos von sich selbst und ihren Lieben zu teilen“, so Oded Vanunu, „Head of Product Vulnerability Research“ bei Check Point.
Die Untersuchung habe ergeben, dass ein Angreifer eine gefälschte SMS-Nachricht mit einem bösartigen Link an einen Benutzer senden könne. „Wenn der Benutzer auf den bösartigen Link klickte, konnte der Angreifer an das ,TikTok‘-Konto gelangen und dessen Inhalt manipulieren, wobei er Videos löschte, unautorisierte Videos hochlud und private oder ‚versteckte‘ Videos öffentlich machte.“

TikTok-Subdomain anfällig für XSS-Angriffe gewesen

Die Untersuchung habe auch ergeben, dass die „TikTok“-Subdomain „ads.tiktok.com“ anfällig für XSS-Angriffe gewesen sei. Dies sei ein Angriff, bei dem bösartige Skripte in ansonsten gutartige und vertrauenswürdige Websites eingeschleust würden.
Die Sicherheitsforscher von Check Point haben demnach diese Schwachstelle ausgenutzt, „um persönliche Informationen abzurufen, die auf Benutzerkonten gespeichert sind, einschließlich privater E-Mail-Adressen und Geburtsdaten“.

TikTok-Entwickler über aufgedeckte Schwachstellen informiert

Check Point Research hat nach eigenen Angaben die „TikTok“-Entwickler über die in dieser Untersuchung aufgedeckten Schwachstellen informiert. Inzwischen sei ein Fix veröffentlicht worden, „um sicherzustellen, dass die Benutzer die TikTok-App weiterhin ungefährdet nutzen können“.
Ihre neuen Untersuchungen zeigten, dass die auch beliebtesten Anwendungen immer noch gefährdet seien, warnt Vanunu. „Social-Media-Angriffe sind sehr gezielt auf Schwachstellen ausgerichtet, da sie eine gute Quelle für private Daten und eine große Angriffsfläche bieten. Böswillige Akteure geben große Mengen an Geld aus und unternehmen viele Anstrengungen, um in solche riesigen Anwendungen einzudringen. Dennoch gehen die meisten Nutzer davon aus, dass sie durch die von ihnen genutzte Anwendung geschützt wären.“

TikTok in über 150 Ländern erhältlich

„TikTok ist dem Schutz der Benutzerdaten verpflichtet. Wie viele Organisationen ermutigen auch wir verantwortungsbewusste Sicherheitsforscher dazu, Zero-Day-Schwachstellen privat an uns zu melden. Vor der öffentlichen Bekanntgabe stimmte Check Point zu, dass alle gemeldeten Probleme in der neuesten Version unserer App ‚gepatcht‘ wurden. Wir hoffen, dass diese erfolgreiche Lösung die zukünftige Zusammenarbeit mit Sicherheitsforschern fördert“, kommentiert Dr. Luke Deshotels aus dem TikTok-Sicherheitsteam.
„TikTok“ sei in über 150 Ländern erhältlich, werde weltweit in 75 Sprachen verwendet und sei mit über 800 Millionen Nutzern definitiv eine der am häufigsten heruntergeladenen Apps. Im Oktober 2019 sei „TikTok“ die am meisten heruntergeladene App in den Vereinigten Staaten gewesen und damit die erste chinesische App, welche einen solchen Rekord erreicht habe. In Deutschland seien es derzeit rund 5,5 Millionen Nutzer – mehr als in Großbritannien, Italien, Spanien oder Frankreich.

Weitere Informationen zum Thema:

<cp>r CHECK POINT RESEARCH, 08.01.2020
Tik or Tok? Is TikTok secure enough?

Check Point Software Technologies, Ltd. auf YouTube, 08.01.2010
Tik or Tok? Is TikTok Secure Enough? Check Point Reveals Vulnerabilities in TikTok

Check Points Sicherheitsforscher warnen vor potenziell bösartiger Gruppennachricht

[datensicherheit.de, 21.12.2019] Laut einer Meldung von Check Point haben eigene Sicherheitsforscher einen Fehler identifiziert, „der es einem Angreifer erlauben würde, eine bösartige Gruppennachricht zu erstellen, um ,WhatsApp‘ auf den Geräten der Benutzer zum Absturz zu bringen“. Diese Schwachstelle sei in der neuesten „WhatsApp“-Version behoben worden. „WhatsApp“ habe derzeit 1,5 Milliarden Benutzer und mehr als eine Milliarde Gruppen, somit sei es die beliebteste Instant-Messaging-App weltweit. Über 65 Milliarden Nachrichten würden täglich über „WhatsApp“ versendet.

Foto: Check Point

Oded Vanunu: WhatsApp hat schnell und verantwortungsbewusst reagiert

Neue Schwachstelle in WhatsApp entschärft

Check Point Research, die „Threat Intelligence-Abteilung“ der Check Point® Software Technologies Ltd., hat demnach kürzlich dabei geholfen, eine neue Schwachstelle in „WhatsApp“ zu entschärfen.
Diese Lücke hätte es einem bösartigen Akteur ermöglichen können, eine Gruppen-Chatnachricht zu senden, welche „die App für alle Mitglieder der Gruppe zum Absturz bringen würde“. Um „WhatsApp“ wieder zu nutzen, müssten Benutzer es deinstallieren und neuinstallieren und dann die Gruppe löschen, welche die Nachricht enthält.

Absturzschleife für WhatsApp-Gruppenmitglieder droht

Um diese Nachricht zu erstellen, müsse der Angreifer ein Mitglied der Zielgruppe sein („WhatsApp“ erlaubt bis zu 256 Benutzer pro Gruppe). Von dort aus könnte er „WhatsApp Web“ und das Debugging-Tool seines Webbrowsers verwenden, um bestimmte Nachrichtenparameter zu bearbeiten und den bearbeiteten Text an die Gruppe zu senden.
Diese bearbeitete Nachricht würde zu einer Absturzschleife für Gruppenmitglieder führen und den Benutzern den Zugriff auf alle „WhatsApp“-Funktionen verwehren, bis sie „WhatsApp“ neu installieren und die Gruppe mit der Nachricht löschen.

WhatsApp-Anwender sollten auf neueste Version der App aktualisieren

„,WhatsApp‘ ist eine der weltweit führenden Kommunikationskanäle für Verbraucher, Unternehmen und Behörden. Die Möglichkeit, die Nutzung von ,WhatsApp‘ zu unterbinden und wertvolle Informationen aus Gruppen-Chats zu löschen, ist deshalb eine leistungsstarke Waffe für Angreifer.
Alle ,WhatsApp‘-Anwender sollten auf die neueste Version der App aktualisieren, um sich vor diesem möglichen Angriff zu schützen“, empfiehlt Oded Vanunu, Leiter von Check Point’s Product Vulnerability Research.

Erkenntnisse an WhatsApp Bug Bounty gemeldet

Check Point Research hat nach eigenen Angaben seine Ergebnisse „am 28. August 2019 verantwortungsbewusst an das ,WhatsApp Bug-Bounty‘-Programm weitergegeben“. „WhatsApp“ habe die Ergebnisse bestätigte und einen Fix zur Behebung des Problems entwickelt, der seit „WhatsApp“-Versionsnummer 2.19.58 verfügbar sei.
Benutzer sollten diesen manuell auf ihren Geräten anwenden. „WhatsApp hat schnell und verantwortungsbewusst reagiert, um den Schutz gegen die Ausnutzung dieser Schwachstelle zu gewährleisten“, betont Vanunu.

Künftig verhindern, dass Personen unerwünscht zu WhatsApp-Gruppen hinzugefügt werden

„WhatsApp schätzt die Arbeit der Security-Community sehr, um uns zu helfen, eine hohe Sicherheit für unsere Anwender weltweit zu gewährleisten“, sagt WhatsApp-Software-Engineer Ehren Kret. „Dank des ,Responsable Disclosure‘ von Check Point in unser Bug-Bounty-Programm haben wir dieses Problem für alle ,WhatsApp‘-Applikationen Mitte September schnell gelöst.“
Man habe auch kürzlich neue Kontrollen hinzugefügt, um zu verhindern, dass Personen unerwünscht zu Gruppen hinzugefügt werden, um die Kommunikation mit nicht vertrauenswürdigen Parteien insgesamt zu vermeiden.

Kommunikation zwischen WhatsApp und WhatsApp Web untersucht

Das Check-Point-Research-Team habe diese Schwachstelle gefunden, indem es die Kommunikation zwischen „WhatsApp“ und „WhatsApp Web“, der Webversion der App, untersucht habe, die alle vom Telefon des Benutzers gesendeten und empfangenen Nachrichten widerspiegele.
Auf diese Weise hätten die Forscher die für die „WhatsApp“-Kommunikation verwendeten Parameter sehen und manipulieren können. Diese neue Untersuchung baue auf den von Check Point Research entdeckten „FakesApp“-Fehlern auf, die es ermöglichten, Gruppen-Chat-Nachrichten zu bearbeiten, um „Fake News“ zu verbreiten.

Weitere Informationen zum Thema:

cp<r>, 17.12.2019
BreakingApp – WhatsApp Crash & Data Loss Bug

cp<r>, 07.08.2018
FakesApp: A Vulnerability in WhatsApp

datensicherheit.de, 10.07.2019
Von WhatsApp bis Threema: Überwachung gängiger Messenger möglich

datensicherheit.de, 14.05.2019
Schwachstelle in Whatsapp-Anrufen ermöglicht Übernahme von iPhones

datensicherheit.de, 13.05.2019
ESET Sicherheitswarnung: Sicherheitslücke in WhatsApp zwingt Nutzer zum Eingreifen

[datensicherheit.de, 15.03.2017] Laut Check Point haben hauseigene Sicherheitsforscher eine neue Schwachstelle in den weltweit beliebtesten Messaging-Diensten „WhatsApp Web“ und „Telegram Web“ enthüllt. Angreifer hätten diese ausnutzen können, um Nutzerkonten vollständig zu übernehmen und auf die persönlichen Gespräche und Gruppenunterhaltungen, Fotos, Videos und andere geteilten Dateien, Kontaktlisten und sonstige Daten zuzugreifen.

Hunderte von Millionen Accounts bedroht

„Durch diese neue Schwachstelle laufen Hunderte von Millionen ,WhatsApp‘- und ,Telegram‘-Web-Nutzer Gefahr, dass ihre Accounts vollständig übernommen werden“, berichtet Oded Vanunu, Leiter „Product Vulnerability Research“ bei Check Point.
Ein Hacker hätte demnach durch einfaches Versenden eines harmlos aussehenden Fotos die Kontrolle über ein Account erlangen können, auf den Nachrichtenverlauf sowie auf alle Fotos, die je geteilt wurden, zugreifen und Nachrichten im Namen des Nutzers versenden.

Schadcode in harmlos aussehendem Bild verborgen

Die Schwachstelle ermögliche dem Angreifer, Schadcode an sein Opfer zu senden, der sich in einem harmlos aussehenden Bild verberge. Sobald der Nutzer das Bild anklickt, bekomme der Angreifer vollen Zugriff auf die Speicherdaten von „WhatsApp“ oder „Telegram“ des Opfers, was ihm wiederum vollen Zugriff auf das Account des Opfers gewähre. Der Angreifer könne die bösartige Datei dann an alle Kontakte des Opfers senden und so möglicherweise einen zielgerichteten Angriff starten.

Fix für Kunden in aller Welt entwickelt

Check Point hat nach eigenen Angaben diese Informationen an die Sicherheitsteams von „WhatsApp“ und „Telegram“ am 8. März 2017 weitergeleitet. Diese hätten das Sicherheitsproblem bestätigt und einen Fix für Webkunden in aller Welt entwickelt.
„Zum Glück reagierten ,WhatsApp‘ und ,Telegram‘ schnell und verantwortungsvoll und führte die Maßnahmen zur Entschärfung dieses Problems bei allen Webclients ein“, sagt Vanunu. „WhatsApp“- und „Telegram“-Web-Nutzern, die sicherstellen möchten, dass sie die neueste Version nutzen, wird empfohlen, ihre Browser neu zu starten.

„End-to-End“-Verschlüsselung als Ursprung der Schwachstelle

„WhatsApp“ und „Telegram“ nutzten Ende-zu-Ende-Mitteilungsverschlüsselung als Maßnahme zur Datensicherung. Dadurch werde gewährleistet, dass nur diejenigen die Nachrichten lesen können, die miteinander kommunizieren, aber niemand dazwischen. Doch genau diese „End-to-End“-Verschlüsselung sei auch der Ursprung dieser Schwachstelle gewesen.
Da Mitteilungen seitens des Absenders verschlüsselt wurden, hätten „WhatsApp“ und „Telegram“ den Inhalt nicht sehen können und seien damit nicht in der Lage gewesen zu verhindern, dass bösartiger Inhalt versendet wurde. Nachdem die Schwachstelle behoben sei, werde der Inhalt nun vor der Verschlüsselung validiert. Auf diese Weise könnten bösartige Dateien blockiert werden.
Beide Web-Versionen spiegelten alle vom Nutzer auf der mobilen App versendeten und erhaltenen Mitteilungen wider und seien mit den Nutzergeräten vollständig synchronisiert.

Milliarden Mitteilungen täglich

„WhatsApp“ habe weltweit über eine Milliarde Nutzer und sei damit der heute am weitesten verbreitete Kurznachrichtendienst. Die Web-Version des Unternehmens stehe auf allen Browsern und „WhatsApp“-unterstützten Plattformen, wie „Android“, „iPhone“ (iOS), „Windows Phone 8.x“, „BlackBerry“, „BB10“ und „Nokia-Smartphones“, zur Verfügung.
„Telegram“ sei eine cloud-basierte Messaging-App für mobile und Desktopgeräte mit monatlich über 100 Millionen aktiven Nutzern. Sie versende täglich über 15 Milliarden Mitteilungen.

Weitere Informationen zum Thema:

Check Point, 15.03.2017
Check Point Discloses Vulnerability that Allowed Hackers to Take over Hundreds of Millions of WhatsApp & Telegram Accounts

Check Point Software Technologies, Ltd. auf YouTube, 15.03.2017

Demo of WhatsApp Web Account Takeover

Check Point Software Technologies, Ltd. auf YouTube, 15.03.2017

Demo of Telegram Web Account Takeover

datensicherheit.de, 16.08.2016
Neue Ransomware Cerber: Schädling verbreitet sich mit hoher Geschwindigkeit

datensicherheit.de, 26.02.2014
WhatsApp: Warnung vor angeblicher Desktop-Version